Mam skonfigurowane konto użytkownika, które umożliwia tworzenie folderów / plików, ale NIE może usuwać folderów / plików utworzonych przez innych użytkowników; nadal mogą jednak usuwać utworzone foldery / pliki. Nie chcę, żeby mogli to zrobić.
Czy mogę w jakiś sposób zabronić użytkownikom usuwania rzeczy, nawet jeśli są oni właścicielem / twórcą?
Lub czy mogę automatycznie zmienić właściciela folderu / pliku na admin, gdy zostanie on utworzony, blokując w ten sposób ogólne konto użytkownika przed usunięciem?
Wszelkie pomysły lub sugestie?
windows-7
permissions
windows-server-2012
windows-server
blackandorangecat
źródło
źródło
Odpowiedzi:
Zapobiegaj zmianom uprawnień właścicieli obiektów NTFS
Jeśli użytkownicy uzyskują dostęp do swoich danych za pośrednictwem udziału sieciowego Windows, administrator systemu może uniemożliwić właścicielowi pliku lub folderu NTFS zmianę uprawnień, nie udzielając uprawnienia do udziału Pełna kontrola :
Podziękowania dla tego artykułu za koncepcję.
Dlatego wszelkie uprawnienia przyznane użytkownikom w pierwszej kolejności pozostaną w mocy, nawet dla właścicieli obiektów, ponieważ nie będą oni mogli wykonywać swoich uprawnień jako Właściciel, aby udzielić sobie uprawnień niedozwolonych przez administratora serwera.
źródło
Kluczem jest to, że użytkownicy mogą usunąć plik, jeśli lista ACL pliku uprawnia go do usunięcia go lub lista ACL katalogu zawierającego daje im uprawnienia do usuwania-potomka. Musisz upewnić się, że ten ograniczony użytkownik nie uzyska żadnego pozwolenia. W specjalnym folderze, z którego nie powinny mieć możliwości usuwania plików, przydziel im następujące uprawnienia w oknie Zaawansowane ustawienia zabezpieczeń:
Ale ponieważ ten użytkownik jest właścicielem wszystkich tworzonych przez siebie plików, jest uprawniony do zmiany uprawnień w celu umożliwienia usunięcia. Ostatnim elementem układanki jest tajemna zasada
OWNER RIGHTS
. Możesz wpisać to wyrażenie bezpośrednio w oknie dialogowym wyboru użytkownika, w którym zwykle wpisujesz nazwę użytkownika lub grupy. Utwórz ostatnią regułę w folderze, która przyznaje tylko „uprawnienia do odczytu” w „tylko podfolderach i plikach”OWNER RIGHTS
. Jedyną zaletą bycia właścicielem pliku w tym folderze jest to, że gwarantuje on możliwość zobaczenia listy ACL, ale jej nie zmienia.źródło
OWNER RIGHTS
tożsamości. Czy istnieje dokumentacja wyjaśniająca tę zasadę bezpieczeństwa?Wystarczy użyć odmowy uprawnień, ponieważ zastępują one uprawnienia.
Należy pamiętać, że w każdym przypadku właściciel może zmodyfikować uprawnienia, aby umożliwić usuwanie plików. Jeśli tak się stanie, jest to wyraźny akt woli, a nie przypadek, co zwykle jest w porządku.
Pamiętaj też, że jeśli ustawisz odmawianie uprawnień, prawdopodobnie niektóre programy i skrypty działające na serwerze nie będą już mogły usuwać ani przenosić plików, dopóki nie zmienisz uprawnień ponownie.
źródło
OWNER RIGHTS
zleceniodawców. Jeśli istnieje taka reguła i nie przyznaje ona uprawnienia do „zmiany uprawnień”, właścicielowi nie gwarantuje się możliwości edycji listy ACL.W zależności od tego, jakie są tego powody, okresowe tworzenie kopii zapasowych w lokalizacji, do której użytkownik nie ma dostępu, może być rozwiązaniem.
źródło